Problem: [SWPUCTF 2021 新生赛]Do_you_know_http

[[toc]]

思路

• 解题大致思路
• 观察题目：题目要求是用WLLM浏览器打开页面，可以通过伪造ua头来达成目的
• 通过伪造ua头到达另一个页面,发现提示要求本地ip才可以访问，通过伪造xff头达成目的

EXP

• 具体攻击代码
• 
• 
• 

总结

• 对该题的考点总结
• 该题目考查的是对http协议的理解

扩展

http常见报文头

Host：指定目标服务器的域名或IP地址。
User-Agent：发送请求的用户代理（浏览器、爬虫等）的标识信息。
Accept：指定客户端能够接受的响应内容类型。
Content-Type：在请求中指定发送的实体主体的媒体类型。
Content-Length：指定请求或响应中的实体主体长度（字节）。
Authorization：用于进行身份验证的凭证信息，如基本认证或Bearer令牌。
Cookie：包含客户端发送到服务器的cookie信息。
Set-Cookie：服务器在响应中设置cookie信息。
Cache-Control：控制缓存行为的指令，例如no-cache、max-age等。
Referer：指定当前请求的来源页面的URL。
Location：在重定向响应中指定新的URL。
ETag：指定实体的唯一标识符，用于缓存验证。
X-Forwarded-FOR: 识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段
Server：响应中指定服务器的软件信息
​